CRÉEZ GRATUITEMENT Obligation d'information RGPD de l'employeur

  • Créez votre document en quelques minutes
  • Accessible sur tout appareil
  • Signez en ligne de manière sécurisée
Créez votre document

En savoir plus sur l' Obligation d'information RGPD de l'employeur

Certifié par le groupe Lefebvre Sarrut, éditeur des codes Dalloz

Vous êtes employeur ? Vous êtes donc obligé de « traiter » au quotidien les données à caractère personnel de vos salariés. Autrement dit, vous devez collecter, utiliser, classer, transmettre, des informations personnelles sur eux (nom et prénom, date et lieu de naissance, adresse, numéro de téléphone, numéro de sécurité sociale, statut familial, etc.). Ces informations sont des données personnelles.

Le règlement général de la protection des données (le RGPD) vous oblige à informer vos salariés sur ce que vous faites de leurs données. L’obligation d’information RGPD de l’employeur vous permet de générer un document informatif personnalisé que vous leur remettrez pour être en conformité avec cette obligation d’information.

  1. Quand utiliser ce document ?
  2. Que contient ce document ?
  3. Etes-vous obligé d’informer vos salariés ?
  4. Quelles sont vos obligations si les données sont traitées en dehors de l’Union européenne ?
  5. "Données personnelles" , qu'est-ce que cela veut dire ?
  6. Quelle est la durée de conservation des données personnelles collectées ?
  7. Devez-vous informer les candidats à un poste du traitement de leurs données personnelles ?
  8. Comment permettre à vos salariés d'exercer leurs droits RGPD ?
  9. Comment sécuriser les données personnelles que vous stockez ?
  10. Informations complémentaires

Vous devez utiliser ce document lorsque vous avez des salariés (ou des collaborateurs) et que vous ne les avez jamais informés sur le traitement de leurs données personnelles dans le cadre de leur contrat de travail.

Vous risquez une amende si vous ne respectez pas cette obligation.

L’obligation d’information RGPD de l’employeur est un document informatif pour vos salariés qui permet d’être en conformité avec l’obligation d’information du RGPD. C’est l’obligation d’informer les personnes, dont les données sont traitées, sur ces traitements. Ce document doit contenir :

  • l’identité du responsable de traitement ;
  • les droits des personnes ;
  • la durée de conservation des données.

Ce document doit également préciser si des données sont traitées en dehors de l’Union européenne.

Oui, vous êtes obligé d'informer vos salariés, étant donné que vous utilisez leurs données personnelles. Vous êtes donc soumis à la législation sur les données personnelles (le RGPD). Celle-ci vous oblige à leur donner ces informations. Si vous ne respectez pas cette obligation, vous risquez une amende très élevée.

Le fait de « traiter » est une notion large, par exemple le fait de transférer, de faire appel à un prestataire ou de stocker des données personnelles, tout cela est considéré comme le fait de traiter des données.

Tant que vous transférez des données au sein de l’Union européenne, il n’y a aucune formalité à faire. L’Union européenne est entendue au sens de l'Espace économique européen, puisque cela inclut l’Islande, la Norvège et le Liechtenstein.

Vous n'avez pas non plus de formalité particulière à faire si vous traitez des données :

  • en Andorre ;
  • en Argentine ;
  • au Canada ;
  • aux les îles Féroé ;
  • à Guernesey ;
  • en Israël ;
  • en l’île de Man ;
  • à Jersey ;
  • en Nouvelle-Zélande ;
  • en Suisse ;
  • en Uruguay.

Si vous traitez des données dans tout autre pays que ceux mentionnés ci-dessus, vous devrez prévoir des dispositions particulières. Vous pouvez en savoir plus sur le site de la CNIL.

Les données personnelles, ce sont toutes les données nominatives permettant d’identifier directement ou indirectement une personne physique. Les informations directes sur une personne comme son nom, son numéro de téléphone, son numéro de sécurité sociale, son adresse mail, sa plaque d’immatriculation, etc. ou alors les informations indirectes, comme son âge, ses plats préférés, ses habitudes de déplacements, etc., sont des données personnelles. Ces données peuvent être récoltées sous format numérique ou sous format papier.

À l’inverse, dès lors que les données ne sont pas identifiables, ce ne sont pas des données personnelles. Par exemple, les données collectées sur la circulation routière, où l’on ne collecte que des informations sur le nombre de voitures qui circulent ne peuvent pas être considérées comme des données personnelles.

Vous ne pouvez pas garder indéfiniment les données personnelles que vous collectez. Vous devez donc prévoir des durées de conservation pour les données personnelles que vous avez collectées et veiller à effacer les données une fois la durée dépassée.

Lors d’une campagne de recrutement, vous êtes amenés à acollecter des données personnelles sur les candidats, le CV et la lettre de motivation étant des données personnelles. Si vous mettez en place un formulaire de candidature en ligne, vous devrez prévoir de donner ces informations quelque part dans ce formulaire.

Le RGPD donne de nombreux droits aux personnes pour contrôler ce qui est fait de leurs données : droit à la portabilité, droit à l’oubli, droit d’accès, etc.

Vous devez avoir une personne dans votre entreprise chargée de gérer ces demandes (sauf si vous avez un délégué à la protection des données-DPO-, ce sera alors une des missions du DPO). Il est recommandé de soigner particulièrement le suivi de ces demandes, puisqu’une personne insatisfaite aura tendance à saisir la CNIL. Cela pourra mener à un contrôle de la CNIL pour vérifier votre conformité avec le RGPD et une amende potentielle si vous n’êtes pas conforme.

Il faut prendre des mesures informatiques et physiques pour garantir la sécurité des données. Le niveau d’exigence de ces mesures va dépendre de la sensibilité des données traitées, plus celles-ci seront sensibles, plus l’exigence doit être élevée.

Des mesures concrètes doivent être prises : mises à jour régulières des antivirus et logiciels, changement régulier de mots de passe et utilisation de mots de passe complexes ou encore chiffrement des données.

Prenez contact avec votre responsable informatique ou votre prestataire pour voir avec lui comment prendre les mesures nécessaires.

Demandez à un avocat si vous avez des questions spécifiques sur les données à caractère personnel.

Si vous voulez en savoir plus sur les données personnelles et vos obligations, vous pouvez consulter notre guide RGPD : check-list pour être prêt au 25 mai 2018.